In der vergangenen Woche hat Microsoft angekündigt, dass der Microsoft Authenticator Entra-ID-Zugänge am Ende von Mobilgeräten löschen wird, die er als gerootet oder gejailbreakt erkennt. GrapheneOS wurde für sicherheits- und datenschutzbewusste Menschen konzipiert – Microsoft will es jedoch offiziell nicht unterstützen. Die Nutzung des Microsoft Authenticators mit Entra-ID-Konten steht dort auf wackeligen Füßen. Das teilte das Unternehmen auf Anfrage von heise security mit.

GrapheneOS genießt einen ausgezeichneten Ruf bezüglich Datenschutz und Sicherheit. Es lässt sich auf Google-Pixel-Smartphones besonders datensparsam nutzen, kann aber auch Google-Dienste einsetzen und legt ihnen jedoch die Leine an: sie starten wie alle anderen Apps in einer Sandbox mit Rechteverwaltung. Durch die weitreichende Kompatibilität etwa mit Banking-Software und Streamingdiensten, die auf vielen Custom-ROMs nicht starten, hat GrapheneOS sich zu einem der beliebtesten Custom-ROMs entwickelt. Die Entwickler sind schnell mit dem Schließen von Sicherheitslücken, gelegentlich fließt sogar Code von GrapheneOS zurück ins Android-Projekt.

Auf dem Mobile World Congress (MWC) in Barcelona verkündete zudem Motorola am Montag dieser Woche, offiziell GrapheneOS zu unterstützen. Damit ist das sichere Betriebssystem nicht mehr exklusiv auf Pixel-Smartphones zu Hause. Motorola will damit nicht weniger als „mithilfe von GrapheneOS die Smartphone-Sicherheit neu definieren“. GrapheneOS bringt demnach einen „verstärkten Sicherheitskern“ und „Schutz vor komplexen Bedrohungen“ mit. Motorola will „spezielle hochsichere Geräte“ anbieten, die etwa in Unternehmen, Behörden und so weiter eingesetzt werden können.

Sichereres Custom-ROM reicht nicht

Für die sichere Nutzung von Unternehmens-E-Mails und zum sicheren Datenaustausch über Smartphones wirkt GrapheneOS damit prädestiniert. Da inzwischen viele ihre Dienste mit Microsofts Identitätsverwaltungsangebot Entra-ID zur Anmeldung ausstatten, ist der Microsoft Authenticator für die Nutzung in Unternehmen wichtig. Er dient als zweiter Faktor zur Anmeldung. Die Entra-ID-Konten müssen sich mit der Smartphone-App daher nutzen lassen, oder Nutzer und Nutzerinnen werden ausgesperrt.

Gegenüber heise security sagte ein Microsoft-Sprecher auf Anfrage: „Microsoft Authenticator wird auf GrapheneOS nicht offiziell unterstützt, und Entra-Konten können in Zukunft auf Geräten mit GrapheneOS beeinträchtigt sein, die als gerootet erkannt werden.“

Unklar ist, ob GrapheneOS-Geräte generell vom Microsoft Authenticator als gerootet erkannt werden. Es bleibt zu hoffen, dass Microsoft da gegebenenfalls doch noch seine Position ändert und das sicherere Android-OS auch offiziell unterstützt. Etwas komplizierter und ohne Microsofts Sicherheitserweiterungen im Authenticator lassen sich alternativ jedoch auch andere Authenticator-Apps mit Microsoft-Konten verknüpfen. Dahinter steckt jedoch auch die Frage, ob etwa die IT-Abteilung die Nutzung davon freigibt.

(dmk)

Heute startet in Bochum die zweitägige Konferenz Bits & Bäume NRW 26. Anne Mollen von der Universität Münster gehört zum Team der Organisator:innen. Gegenüber netzpolitik.org erläutert sie, was die Akteur*innen aus Wissenschaft, Zivilgesellschaft und Verwaltung von der Landespolitik fordern, warum es wichtig ist, Digitalisierung von Anfang an nachhaltig zu gestalten, und wie das die Abhängigkeit von Tech-Konzernen verringert.

netzpolitik.org: Anne Mollen, warum findet die Konferenz in NRW statt?

Anne Mollen: Es gab schon zwei Konferenzen in den Jahren 2018 und 2022, allerdings auf Bundesebene. Bereits damals ging es darum, die Themen Nachhaltigkeit und Digitalisierung zusammenzubringen. Aber die Bits-&-Bäume-Bewegung besteht aus vielen lokalen Zweigen, einer davon ist der nordrhein-westfälische. Uns vor Ort war schnell klar: Wir müssen auch die Landespolitik adressieren. Denn sie nutzt ihre politischen Handlungsspielräume nur unzureichend oder gar nicht.

Beim Bau von Rechenzentren Probleme gemeinsam betrachten

netzpolitik.org: In NRW baut Microsoft gerade Hyperscaler-Rechenzentren im Rheinischen Revier. Das Braunkohlegebiet soll zukünftig als Vorzeigeregion für strukturellen Wandel gelten. Was ist daran falsch?

Anne Mollen: So einiges. Der Bund für Umwelt und Naturschutz NRW hat etwa die Flächenversiegelung kritisiert, weil für die Rechenzentren nicht bereits brachliegende Flächen genutzt werden, sondern landwirtschaftliche Nutzflächen wegfallen.

Und natürlich geht es auch um den Energieverbrauch. Denn Microsoft hat wichtige Informationen nicht öffentlich gemacht. Zum Beispiel, wie sie den Bedarf an erneuerbaren Energien decken wollen. Solche fehlenden Informationen sind ein wiederkehrendes Muster. An anderen Orten sehen wir, dass Unternehmen dann klimaschädliches Gas zur Energiegewinnung einsetzen, wenn nicht ausreichend Grundlaststrom vorhanden ist.

Diese Intransparenz ist ein Problem. Wir wissen aus der Forschung, wie sich Rechenzentren etwa in Irland Zusagen für erneuerbare Energien holen, um sich klimaneutral zu präsentieren. Im Anschluss kommt es dann aber zu Verteilungskonflikten, weil Privathaushalte das Nachsehen haben. Deswegen fordern wir einen ganzheitlichen, nachhaltigen Strukturwandel, der lokale Akteur*innen stärkt.

netzpolitik.org: Aber profitieren strukturschwache Regionen nicht wenigstens von neuen Arbeitsplätzen?

Anne Mollen: Microsoft hat versprochen, 450 Arbeitsplätze in der Region zu schaffen. Ich habe aber nicht herausgefunden, wie sie auf diese Zahl kommen.

Angaben aus den USA zeigen, dass pro Terawattstunde, die ein Rechenzentrum an Energie aufnimmt, in der Regel sehr wenige langfristige Vollzeitarbeitsplätze geschaffen werden. Kurzfristig entstehen natürlich Jobs, um die Rechenzentren hochzuziehen. Aber bei dem Bedarf, den wir im Rheinischen Revier mit dem Wegfall des Kohleabbaus haben, ist das ein Tropfen auf den heißen Stein.

Diese Transformationserzählung, dass Rechenzentren den Strukturwandel bringen und die auch die Landespolitik weiterträgt, ist hochproblematisch. Denn wenn man genauer hinschaut, wohin die Milliardeninvestitionen fließen, wird dieses Versprechen nicht eingelöst.

Microsoft hat Investitionen in Höhe von 3,2 Milliarden Euro zugesagt, die ins Rheinische Revier fließen sollen. Ein Großteil des Geldes wird aber für die Hardware der Rechenzentren aufgewendet. Die wird jedoch nicht in NRW hergestellt, im Zweifel nicht einmal in Deutschland.

Unabhängige Gutachten müssen Transparenz schaffen

netzpolitik.org: Was wäre denn die Alternative?

Anne Mollen: Damit Prozesse transparenter sind, müssten den Unternehmen klare Auflagen gemacht werden. Es braucht verpflichtende unabhängige Gutachten zu den ökologischen Auswirkungen. Und die Unternehmen müssten nachweisen, wie sie Umweltschäden eindämmen wollen.

Außerdem sollten kommunale Akteur*innen massiv gestärkt und sensibilisiert werden, wenn es um Verhandlungen mit großen Playern wie Microsoft geht. Damit sie einschätzen können, was es bedeutet, wenn ein Konzern bei ihnen vor Ort ein Rechenzentrum aufmacht.

netzpolitik.org: Aber reicht der Blick aufs Lokale?

Anne Mollen: Nein, die globale Perspektive entlang der Lieferketten ist natürlich ebenso wichtig. Werden Server so hergestellt und später entsorgt, dass ihre Einzelteile in einen Kreislauf überführt werden? Auch dafür sind verpflichtende Umweltgutachten wichtig.

Mit unseren politischen Forderungen gehen wir in die Breite. Und die Rechenzentren sind nur ein Aspekt von vielen. Ebenso setzen wir uns für partizipative Beteiligungsprozesse ein. In Chile können wir zum Beispiel sehen, wie lokale Proteste Wirkung zeigen. Dort hat die Ansiedlung von Microsoft-Rechenzentren die Wasserkrise massiv verschärft. Das Unternehmen ist daraufhin auf eine weniger wasserintensive Technologie umgestiegen. Und auch in Hessen hat lokaler Widerstand dazu geführt, dass ein Hyperscale-Rechenzentrum nicht gebaut wurde.

Deshalb fordern wir, dass die Zivilgesellschaft von vornherein eingebunden ist. Da stehen dann auch die kommunale Politik und die Landespolitik in der Verantwortung. Statt solchen Bodenwert leichtfertig an große Unternehmen abzugeben, könnten sie mehr Geld in digitale Souveränität investieren.

Selbstbestimmung statt digitale Abhängigkeiten fördern

netzpolitik.org: Digitale Souveränität ist ein gutes Stichwort. Was kann NRW hier aus eurer Sicht ausrichten?

Anne Mollen: Es ist wichtig, über alternative Formen der digitalen Infrastruktur zu sprechen. Und gerade Hochschulen verfügen über unabhängige digitale Infrastrukturen, die kommunale Rechenzentrumsbetreiber oder die Hochschulen selbst betreiben. Das Prinzip der digitalen Souveränität wird auf Grundlage von Open-Source-Anwendungen hier bereits seit rund 15 Jahren umgesetzt.

Aber auch bei generativer KI ist das Land NRW vorne dabei. Verschiedene Universitäten, auch bundesweit, hosten beispielsweise ein lokales großes Sprachmodell. Und es gibt das Projekt Open Source-KI.nrw. Das ist ein Servicezentrum, das KI-Infrastrukturen für Hochschulen und Forschungseinrichtungen anbietet.

Aber solche Angebote kosten Geld. Deswegen muss das Land NRW in Hochleistungsrechenzentren investieren, die diese KI-Dienste durch entsprechende Dauerstellen stützen.

Bisher gibt es landesweit noch Projekte, die zweigleisig unterwegs sind. Einige haben Schnittstellen zu kommerziellen Anbietenden. Langfristig sollten sich aber alle Akteur*innen zu souveränen Lösungen verpflichten, damit wir uns nicht in die nächste digitale Abhängigkeit begeben.

Denn die Abhängigkeit kostet auch. Gerade sind Lizenzkosten für kommerzielle KI-Modelle zwar noch massiv subventioniert. Forschende warnen aber davor, dass Lizenzkosten langfristig vermutlich deutlich höher ausfallen, als Investitionen in digitale Souveränität kosten würden.

Bürger*innen beteiligen, Forschung anhören, mit der Politik verbinden

netzpolitik.org: Lassen sich eure Forderungen auf andere Bundesländer übertragen?

Anne Mollen: Zunächst halten wir es für wichtig, auf Landesebene das Politikfeld nachhaltige Digitalisierung zu schaffen. Bisher ging es dort vor allem um die Frage, wie wir mit dem Einsatz digitaler Technologien Nachhaltigkeit erreichen können. Wir wollen aber die Perspektive etablieren, dass wir Digitalisierung gemeinsam und nachhaltig gestalten sollten.

Dabei darf die Landespolitik nicht allein in der Verantwortung sein, aber sie sollte neuen Ideen auch nicht im Wege stehen.

Wir wollen gemeinsam mit Menschen aus der Forschung und aus der Zivilgesellschaft darüber diskutieren, welche digitale Zukunft wir anstreben. Denn wir alle sollten die Möglichkeit haben, unsere digitale Zukunft zu gestalten, sei es an der Hochschule, in der Verwaltung oder auch im Verein.

Eine solche Zukunftsvorstellung, auf die wir hinarbeiten, können wir auch anderen Bundesländern anbieten. Unsere Hoffnung ist, dass unsere Forderungen eine Eigendynamik entwickeln und die Länder dann durch gute Beispiele voneinander lernen.

Angreifer können die volle Kontrolle über Cisco Secure Firewall Management Center (FMC) erlangen. Diese und weitere Sicherheitsprobleme in Secure Firewall Adaptive Security Appliance (ASA) und weiteren Produkten haben die Entwickler mit nun veröffentlichten Sicherheitspatches gelöst. Bislang gibt es keine Hinweise, dass Angreifer bereits Netzwerke attackieren.

Root-Schwachstellen

FMC ist gleich über zwei „kritische“ Sicherheitslücken mit Höchstwertung (CVE-2026-20079, CVE-2026-20131 jeweils CVSS Score 10 von 10) angreifbar. Im ersten Fall können entfernte Angreifer ohne Authentifizierung mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen. Klappt das, können sie Skripte mit Root-Rechten ausführen.

Im zweiten Fall sind Attacken ebenfalls aus der Ferne und ohne Authentifizierung möglich. Hier können Angreifer Schadcode mit Root-Rechten ausführen. In beiden Fällen ist davon auszugehen, dass Instanzen im Anschluss als vollständig kompromittiert gelten. Um die jeweils passenden Sicherheitsupdates zu finden, müssen Admins in den unter den CVE-Nummern verlinkten Warnmeldungen in einem Auswahlmenü unter anderem ihre Firewall-Modelle angeben.

Weitere Gefahren

Über sieben weitere mit dem Bedrohungsgrad „hoch“ eingestufte Lücken in ASA und FMC können Angreifer DoS-Attacken auslösen oder auf eigentlich abgeschottete Daten zugreifen. Zusätzlich haben die Entwickler noch mehrere mit „mittel“ eingestufte Sicherheitslücken geschlossen. An diesen Stellen sind neben DoS- auch XSS-Attacken möglich.

In Webex wurde ebenfalls eine XSS-Lücke (CVE-2026-20149 „mittel“) geschlossen. Weitere Informationen zu den Schwachstellen und Sicherheitspatches listet Cisco im Sicherheitsbereich seiner Website auf.

(des)